De laatste tijd zijn veel Android-gebruikers wat rustiger geworden. Allemaal vanwege het feit dat de kwetsbaarheden van het besturingssysteem veel minder zijn geworden. Hoewel, het is mogelijk dat ze er gewoon minder over begonnen te praten. Hoe dan ook, dit leidde ertoe dat gebruikers begonnen te vergeten wat virussen zijn, en het is gedurfder om applicaties van Google Play te downloaden. Nu blijkt dat ze vroeg ontspannen. Je moet natuurlijk ook niet in paniek raken, maar houd er rekening mee dat ook bijna alle apps worden bedreigd. Wat nog interessanter is, is dat het niet eens om Android gaat en dat Google niet alles in één keer kan oplossen met één besluit. Maar wat te doen en wie is hiervoor verantwoordelijk? Nogmaals, twee eeuwige Russische vragen.
Volgens onderzoekers van Trustwave lopen Android-gebruikers over de hele wereld mogelijk risico vanwege een recent ontdekte kwetsbaarheid voor het omzeilen van authenticatie die van invloed kan zijn op elke app. En misschien kan Google er heel weinig aan doen, ook al beïnvloedt het apps die zijn gedownload van Google Play. Het bedrijf zegt zelfs dat het momenteel onmogelijk is om zelfs maar vast te stellen hoe wijdverbreid het probleem is. En dat komt omdat het niet om Android gaat.
Het probleem lijkt een direct gevolg te zijn van “slechte programmering” en kan elke toepassing beïnvloeden. Het blijkt dat de apps zelf en hun ontwikkelaars de schuldige zijn. Het zou niet zo eng zijn als het niet zou kunnen leiden tot het lekken van belangrijke gebruikersinformatie. Dit kan op zijn beurt leiden tot een compromis of verlies van echt vertrouwelijke informatie…
Uitbuiting van deze kwetsbaarheid is nog niet wijdverbreid, maar er zijn vooruitzichten voor groei. Als gevolg hiervan kan dit een enorm probleem worden voor miljoenen gebruikers.
Trustwave zegt dat het probleem ligt in de componenten die berichten met andere applicaties mogelijk maken. In de huidige versie van bijna alle applicaties zijn ze gemakkelijk te manipuleren. Als alles zo is, dan is dat probleem echt kan niet worden opgelost op Android-niveauen de ontwikkelaars zelf moeten meedoen.
Kortom, elke Android-app wordt geleverd met een AndroidManifest.xml-bestand dat op verschillende manieren kan worden geëxporteerd, maar apps en software zijn de meest voorkomende. Omdat daar gedetecteerde acties kunnen worden uitgevoerd, wordt het voor een aanvaller gemakkelijk om applicaties te manipuleren en hen te dwingen te doen wat ze niet zouden moeten doen.
Trustwave gebruikt een voorbeeld van een berichtentoepassing die door het bedrijf is gemaakt voor intern gebruik. Als gevolg hiervan kon Trustwave door de gespecificeerde kwetsbaarheid rechtstreeks het berichtensysteem binnendringen zonder inloggegevens. Dit gaf hen de mogelijkheid om toegang te krijgen tot alle systeemberichten. Het enige dat nodig was, was toegang tot het manifestbestand en een manier om acties zoals ADB uit te voeren.
Het misbruik van kwetsbaarheid kan heel verschillend zijn. U kunt bijvoorbeeld een app dwingen gegevens te delen, zelfs op afstand, of er gewoon advertenties in weergeven. Adverteren zal natuurlijk binnen de mogelijkheden van de app verlopen. Maar bijna alle apps kunnen bijvoorbeeld notificaties weergeven. Dit is een potentieel kanaal voor spam. Crackers maken zich weinig zorgen over de effectiviteit ervan, omdat ze in dit geval meer volume zullen nemen.
Gezien de eigenaardigheden van het beveiligingslek, kan Google niet echt iets anders doen dan aanbevelingen naar ontwikkelaars sturen en op zijn minst beginnen met het verbieden van hun apps uit de winkel. In dit stadium is dit echter onwaarschijnlijk, omdat ze letterlijk allemaal moeten worden verboden. En de omvang van het probleem is nog niet groot genoeg om van serieuze maatregelen te spreken.
Aan de andere kant moeten de ontwikkelaars zelf op de een of andere manier in beweging komen en het initiatief nemen om hun gebruikers veilig te houden. Dagenoude apps die zijn gemaakt als onderdeel van de hobby van een hobbyist-programmeur zijn één ding, en serieuze producten gemaakt door grote studio’s voor commerciële projecten is iets heel anders.
Trustwave wijst erop dat de eenvoudigste en potentieel meest effectieve oplossing is dat ontwikkelaars de geëxporteerde componenten beperken tot wat ze echt nodig hebben. Dat wil zeggen, de export moet worden beperkt tot alleen die componenten die gewoon beschikbaar moeten worden gemaakt voor andere toepassingen.
We zullen de ontwikkeling van evenementen zeker volgen en vertellen waar dit allemaal toe zal leiden in ons Google Nieuws.
Ten tweede moeten applicaties zichzelf testen om alle gegevens te verifiëren die zijn ontvangen via uitwisselingsopdrachten. Ook moeten ontwikkelaars de bronnen van deze opdrachten beperken. Dit zal ook niet 100% bescherming bieden, maar het zal de risico’s van hacking aanzienlijk verminderen.
Als dergelijke acties worden ondernomen, wordt het systeem als geheel veel veiliger. Natuurlijk zijn alle serieuze ontwikkelaars al op de hoogte van het probleem en proberen ze het op te lossen. Nou, kleine apps zijn voor niemand bijzonder interessant, en het ergste wat cybercriminelen ermee kunnen doen, is ze volstoppen met advertenties, en dat is genoeg.
